NSE :如何续订连接到 TKLM 或 SKLM 密钥服务器的过期 NSE 证书?
不可不使用
适用场景
- NetApp 存储加密
- 集群模式Data ONTAP 8.x
- ONTAP 9
问题解答
在使用TKLM或SKLM密钥服务器的NSE系统上、需要续订的过期证书将需要原始 client_private.key
文件。TKLM/SKLM可通过证书定义访问权限。如果 client_private.key
创建了新的、则存储在TKLM/SKLM上的原始密钥将无法访问。
要续订已过期的NSE客户端证书,请使用原始证书 client_private.key
生成新的 client.csr
。client.csr
在CA上签名。将 client.pem
和连接在一起 client_private.key
以生成 client_private.pem
文件。运行以下命令、在NSE系统上安装更新的证书之前对其进行测试:openssl s_client -tls1 -connect <IP-Address-of-Key-Server>:5696 -verify 10 -showcerts -cert client.pem -key client_private.pem -CAfile <IP-Address-of-Key-Server>_CA.pem
例如:
openssl s_client -tls1 -connect 192.168.1.73:5696 -verify 10 -showcerts -cert client.pem -key client_private.pem -CAfile 192.168.1.73_CA.pem
Data ONTAP 8.3及更低版本
- 如果在证书更换过程中断电、请在更换证书之前手动将驱动器临时重新设置为默认密钥ID 0x0。这是为了防止在证书续订过程中发生驱动器锁定。
请执行以下步骤:- run:
key_manager restore -all
(从连接的密钥服务器加载所有密钥ID) - run:
disk encrypt show
(记下加密密钥ID、因为它将在证书续订后使用)
- run:
disk encrypt rekey 0x0 *
(将驱动器重置为默认值、并在替换证书时临时允许对驱动器进行完全访问) - run:
disk encrypt show
(验证是否已将所有磁盘的密钥重新设置为0x0)
- run:
- 显示证书
1. 运行:keymgr list cert
- 在NSE系统上更换之前、请备份所有原始证书。
- 从NSE系统中删除证书
1。 run:key_manager show
(获取当前已配置密钥服务器的列表)
2. 运行:key_manager remove -key_server <IP-Address-of-Key-Server>
注:对所有已配置的密钥服务器重复操作步骤。
运行:keymgr delete cert client_private.pem.
运行:运行:keymgr delete cert client.pem.
keymgr delete cert <IP-Address-of-Key-Server>_CA.pem.
- 将新生成的证书放置在存储上。 在此示例中、
- 在NSE系统上安装续订的证书后、必须删除并重新添加所有密钥服务器。需要执行此步骤才能将新证书复制到CF卡上。
为此、请执行以下步骤:- run:
key_manager show
(获取当前已配置密钥服务器的列表) - 运行:
key_manager remove -key_server <IP_CA.pem>
注:对所有已配置的密钥服务器重复操作步骤。 - 运行:
key_manager add –key_server <IP_CA.pem>
注:对所有先前配置的密钥服务器重复操作步骤。 - 运行:
key_manager query
(验证密钥ID是否已正确列出、原始密钥ID是否应列出) - run:
disk encrypt rekey <Key-ID> *
(这是 上面S tep 1b中的密钥ID、密钥ID也应位于key_manager query
输出中) - run:
disk encrypt show
(验证所有磁盘是否均已重新设置为新密钥ID、并且所有驱动器均未设置密钥ID 0x0) - 对HA控制器重复上述过程。
- run:
Data ONTAP 8.3.1及更高版本
::> storage encryption disk modify -disk * -data-key-id 0x0
::> security key-manager remove -address key_management_server_ipaddress
::> security certificate delete -vserver admin_svm_name -type client -subtype kmip-cert
::> security certificate install -vserver admin_svm_name -type client -subtype kmip-cert
<--这将提示中的以下项目。 必须粘贴到中的PEM。
出现提示时剪切并粘贴公共证书
出现提示时剪切并粘贴私钥
::> security key-manager setup -node <name>
对集群中的每个节点重复此操作。
:::> security key-manager add -address <key_management_server_ipaddress>
仅当能够添加和查询key-manager时,才继续创建密钥。
验证密钥管理服务器是否已配置且在集群中的所有节点上均可用:
:::> security key-manager show -status
:::> security key-manager Query
:::> security key-manager cree-key -proper-for key true
出现提示时,输入密钥密码短语。该密钥的长度必须介于 20 到 32 个字符之间。
您可以使用" -proper-for -key true"设置、这将要求您粘贴密码短语或忽略密码短语、Data ONTAP将随机生成密码短语。最佳做法始终是提供客户指定的密码短语以供恢复之用。
这将返回一个40-60字符的密钥ID、该ID将在下一步中使用。
记下身份验证密钥、因为这是关键信息
::> storage Encryption disk修改-disk disk_id -data-key-id authentication key_id * (与上一命令输出中显示的密钥ID相同)
::> storage Encryption disk show
Data ONTAP 9.0、Data ONTAP 9.1和Data ONTAP 9.2
:: Security certificate install -type client -subtype kmip-cert
请输入证书:完成后按<Enter>键
<粘贴名为client.pem,包括开始和结束语句的NSE公共证书>
请输入私钥: 完成后按<Enter>
<Paste the NSE private certificATE named client_priv.pem, including the EINN and END语句>
MIIB8TCCAZugAwIBAWIBADANBgkqhkiG9w0BAQQFADBfMRMWEQYDVQDEwpuZARH cHAUY29tNMswCQYDVQQGEWJVUZEJMACGA1UECBAMQkwYDVQQQQHEWAX
结束证书---
完成此操作后、请运行以下命令以更新本地节点上的证书:
::> security key-manager certificate update -type client
将驱动器密钥重新设置为默认密钥ID 0x0将允许对加密驱动器上的数据进行完全访问、而无需进行密钥服务器身份验证。这样、驱动器就不会受到物理盗窃的影响。请务必及时完成证书续订过程、然后 在证书续订后重新设置密钥ID为0x0的所有驱动器的密钥。仔细检查是否所有驱动器的keyid均不为0x0。 |
追加信息
在此处添加文本。